我们邀请 Azure B2B 来宾用户访问我们的 AD,以便他们访问 Web 应用程序。 此过程的一部分还会将它们添加为特定安全组的成员。
我注意到的是,B2B用户可以登录 - (https://account.activedirectory.windowsazure.com) - 并且能够看到他们所属的组的其他成员。
鉴于此信息包含客户电子邮件地址,因此它会带来与GDPR相关的问题。
AD 管理门户用户设置设置为"限制对 Azure AD 管理门户的访问"
任何想法我们如何限制B2B用户能够以这种方式枚举组成员身份?
让我列出一些事实
- 以下部分是与添加B2B来宾用户无关的手动步骤
此过程的一部分还会将它们添加为特定安全组的成员。
- 创建安全组时,所有成员都可以看到其他成员的可用信息列表
- 当 Azure 上的来宾用户使用其电子邮件标识时,安全组所有成员的电子邮件地址将对其他组成员可见
解决方法是为每个域(即每个公司或每个用户组的电子邮件中具有相同的@xxxx.com)创建一个单独的安全组。然后将所有这些组收集到单个父安全组中,并分配对该父组的访问权限
这样,所有来宾用户将具有相同的资源访问权限,但每个组将只能查看有关其同一子组中成员的信息